好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 wyongbin 于 2014-5-19 11:41 编辑
先感谢一下小生大大,od真的很好用能过很多强壳。就拿生哥初级教程11课补充里的那个CC来说吧,它可是带格盘代码的,当然你不脱它的话它也不格你,
双击运行时就会先后出现两个警告框,我的系统就会这样,见图problem1.bmp和problem2.bmp。但生哥做教程都没有这个问题啊,也许有些人的也不会吧,但是我百度了下,发现有这种情况求助的还不少,但是没有见到有效的解决方法,怎么回事?难道都中了病毒,先是尝试着把这个dll删除掉,发现访问拒绝删不了,于是想着重启电脑再删应该行吧,但重启后还是删不了,于是接下来就进安全模式还是不行,然后又试了下360杀毒扫描,未发现病毒。强制粉碎,竟然也粉碎不了,用那什么什么修复也没有动静,有人说重新下载个dll替换掉,这个我没试。好了废话不多说,进入正题,先peid扫描,什么也没发现,但看区段是vmp的壳。既然它有提示框我们就先f12暂停法回朔,找到一个跳过这两个警告框的跳转下硬件断点,然后重载程序,f9,发现没有断下来,仔细想了下,应该是程序没有解码的缘故吧。那么接下来就要寻找一个循环解码的地址,经过单步f7跟踪发现:00CD8C50 ^\E9 33FDFFFF jmp Alice丶.00CD8988在这里下断f2最合适,点f9三次后,alt+e发现程序已经解码,(这个是易语言的程序,经过搜索特征码后不难发现)下断之后f9几次之前那个硬件断点就可以断下来了,但是跳过那两个警告提示框后,还是没有进入程序,因此此法也行不通或者说很难行得通,因此就采用个简便的方法,换窗口id,完美解决。这个去看小生大大的教程,很详细的。此贴主要是解决那个dll问题的,其他的就略过吧,其实只要找到循环解码的地方就已经算是成功了。如果对你有所帮助就请评个分或给个热心值或回复一下吧,大牛略过,勿喷我这个新手!抱歉,图片的顺序反了,大家从下往上看吧,最后提醒一下,脱壳的朋友小心了!
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2014-5-18 21:14
|
发表于 2014-5-18 21:41
